This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已动态机器翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.
Este artigo foi traduzido automaticamente.
这篇文章已经过机器翻译.放弃
Translation failed!
配置 Citrix ADC 设备以进行审核日志记录
审核日志记录显示来自不同模块的状态信息,以便管理员可以按时间顺序查看事件历史记录。审计框架的主要组成部分是“审计行动”,“审计策略”.“审计操作”描述审计服务器配置信息,而“审计策略”将绑定实体链接到“审计操作”。审计策略使用“经典策略引擎”(CPE) 框架或进度集成 (PI) 框架将“审计行动”链接到“系统全局绑定实体”。
但是,在将审计日志策略与全球实体绑定方面,政策框架彼此不同。以前,审核模块仅支持经典表达式,但现在它同时支持经典和高级策略表达式。目前,高级表达式只能将审核日志策略绑定到系统全局实体。
注意
将策略绑定到全局实体时,必须将其绑定到同一表达式的系统全局实体。例如,您不能将经典策略绑定到高级全局实体,也不能将高级策略绑定到经典全局实体。
此外,您不能将传统审核日志策略和高级审核日志策略同时绑定到负载平衡虚拟服务器。
在经典策略表达式中配置审核日志策略
在经典策略中配置审核日志记录包括以下步骤:
- 配置审核日志操作。您可以为不同的服务器和不同的日志级别配置审核操作。“审核操作”描述审核服务器配置信息,而“审核策略”将绑定实体链接到“审核操作”。默认情况下,SYSLOG 和 NSLOG 仅使用 TCP 将日志信息传输到日志服务器。TCP 比 UDP 更可靠地传输完整数据。将 TCP 用于 SYSLOG 时,可以在 Citrix ADC 设备上设置缓冲区限制以存储日志。之后,日志将发送到 SYSLOG 服务器。
- 配置审核日志策略。您可以配置 SYSLOG 策略以将消息记录到 SYSLOG 服务器,也可以配置 NSLOG 策略以将消息记录到 NSLOG 服务器。每个策略都包含一个标识要记录的消息的规则,以及一个 SYSLOG 或 NS LOG 操作。
- 将审核日志策略绑定到全局实体。您必须将审核日志策略全局绑定到全局实体,例如 SYSTEM、VPN、Citrix ADC AAA 等。你可以这样做来启用所有 Citrix ADC 系统事件的日志记录。通过定义优先级级别,您可以设置审核服务器日志记录的评估顺序。优先级 0 是最高值,首先评估。优先次数越高,评价的优先次数就越低。
以下各节将介绍这些步骤中的每一个步骤。
配置审核日志操作
使用命令行界面在高级策略基础结构中配置 SYSLOG 操作。
注意
Citrix ADC 设备允许您仅为 SYSLOG 服务器 IP 地址和端口配置一个 SYSLOG 操作。设备不允许您将多个 SYSLOG 操作配置到同一服务器 IP 地址和端口。
syslog 操作包含对 syslog 服务器的引用。它指定要记录哪些信息,并提及如何记录这些信息。
在命令提示窗口中,键入以下命令来设置参数并验证配置:
- add audit syslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )] [-transport ( TCP | UDP )]`
- show audit syslogAction [<name>]
使用命令行界面在高级策略基础结构中配置 NSLOG 操作
ns log 操作包含对 nslog 服务器的引用。它指定要记录哪些信息,并提及如何记录这些信息。
在命令提示窗口中,键入以下命令来设置参数并验证配置:
- add audit nslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )]
- show audit nslogAction [<name>]
配置审核日志策略
使用命令行界面在经典策略基础结构中配置审核日志策略
在命令提示窗口中,键入:
- add audit syslogpolicy <name> <-rule> <action>
- add audit nslogpolicy <name> < rule> <action>rm audit nslogpolicy <name>show audit nslogpolicy [<name>]set audit nslogpolicy <name> [-rule <expression>] [-action <name>]
将审核系统日志策略绑定到全局系统日志
使用命令行界面在经典策略框架中绑定审核日志策略
在命令提示窗口中,键入:
bind audit syslogGlobal <policyName> [-globalBindType <globalBindType
unbind audit syslogGlobal <policyName>[-globalBindType <globalBindType>]
使用高级策略表达式配置审核日志策略
在高级策略中配置审核日志记录包括以下步骤:
- 配置审核日志操作。您可以为不同的服务器和不同的日志级别配置审核操作。“审核操作”描述审核服务器配置信息,而“审核策略”将绑定实体链接到“审核操作”。默认情况下,SYSLOG 和 NSLOG 仅使用 TCP 将日志信息传输到日志服务器。TCP 比 UDP 更可靠地传输完整数据。将 TCP 用于 SYSLOG 时,可以在 Citrix ADC 设备上设置缓冲区限制以存储日志。之后,日志将发送到 SYSLOG 服务器。
- 配置审核日志策略。您可以配置 SYSLOG 策略以将消息记录到 SYSLOG 服务器,也可以配置 NSLOG 策略以将消息记录到 NSLOG 服务器。每个策略都包含一个标识要记录的消息的规则,以及一个 SYSLOG 或 NS LOG 操作。
- 将审核日志策略绑定到全局实体。必须将审核日志策略全局绑定到系统全局实体,才能启用所有 Citrix ADC 系统事件的日志记录。通过定义优先级级别,您可以设置审核服务器日志记录的评估顺序。优先级 0 是最高值,首先评估。优先次数越高,评价的优先次数就越低。
注意:
Citrix ADC 设备将评估绑定为 true 的所有策略。
配置审核日志操作
使用命令行界面在高级策略基础结构中配置 syslog 操作
在命令提示窗口中,键入以下命令来设置参数并验证配置:
- add audit syslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )] [-transport ( TCP | UDP )]
- show audit syslogAction [<name>]
使用命令行界面在高级策略基础结构中配置 NSLOG 操作
在命令提示窗口中,键入以下命令来设置参数并验证配置:
- add audit nslogAction <name> <serverIP> [-serverPort <port>] -logLevel <logLevel> [-dateFormat ( MMDDYYYY | DDMMYYYY )]
- show audit nslogAction [<name>]
配置审核日志策略
使用命令行界面添加 syslog 审核操作
在命令提示窗口中,键入:
add audit syslogAction <name> (<serverIP> | ((<serverDomainName>[-domainResolveRetry <integer>])
| -lbVserverName <string>))[-serverPort <port>] -logLevel <logLevel>[-dateFormat <dateFormat>]
[-logFacility <logFacility>][-tcp ( NONE | ALL )] [-acl ( ENABLED | DISABLED )]
[-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )]
[-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )]
[-subscriberLog ( ENABLED | DISABLED )][-transport ( TCP | UDP )] [-tcpProfileName <string>][-maxLogDataSizeToHold
示例
> add audit syslogaction audit-action1 10.102.1.1 -loglevel INFORMATIONAL -dateformat MMDDYYYY
> add audit nslogAction nslog-action1 10.102.1.3 -serverport 520 -loglevel INFORMATIONAL -dateFormat MMDDYYYY
> add audit syslogpolicy syslog-pol1 TRUE audit-action1
> add audit nslogPolicy nslog-pol1 TRUE nslog-action1
> bind system global nslog-pol1 -priority 20
使用命令行界面添加 nslog 审核操作
在命令提示窗口中,键入:
add audit nslogAction <name> (<serverIP> | (<serverDomainName>[-domainResolveRetry <integer>])) [-serverPort <port>] -logLevel <logLevel> ... [-dateFormat <dateFormat>][-logFacility <logFacility>] [-tcp ( NONE | ALL )][-acl ( ENABLED | DISABLED )] [-timeZone ( GMT_TIME | LOCAL_TIME )][-userDefinedAuditlog ( YES | NO )][-appflowExport ( ENABLED | DISABLED )] [-lsn ( ENABLED | DISABLED )][-alg ( ENABLED | DISABLED )] [-subscriberLog ( ENABLED | DISABLED )]`
将审核日志策略绑定到全球实体
使用命令行界面在高级策略框架中绑定 syslog 审核日志策略
在命令提示窗口中,键入:
bind audit syslogGlobal <policyName> [-globalBindType <globalBindType
unbind audit syslogGlobal <policyName>[-globalBindType <globalBindType>]
使用 GUI 配置审核日志策略
- 导航到配置 > 系统 > 审核 > 系统日志。
- 选择服务器选项卡。
- 单击添加。
- 在创建审核服务器页面中,填充相关字段,然后单击创建。
- 要添加策略,请选择策略选项卡,然后单击添加。
-
在创建审核系统日志策略页面中,填充相关字段,然后单击创建。
- 要全局绑定策略,请从下拉列表中选择高级策略全局绑定。选择 best_syslog_policy_ever 策略。单击 Select(选择)。
- 从下拉列表中,选择绑定点作为 SYSTEM_GLOBAL ,然后单击绑定和完成 。
配置基于策略的日志记录
您可以为重写和响应程序策略配置基于策略的日志记录。然后,当策略中的规则评估为 TRUE 时,将以定义的格式记录审核消息。要配置基于策略的日志记录,您可以配置使用默认语法表达式来指定审计消息格式的审计消息操作。然后将操作与策略关联起来。该策略可以全局绑定,也可以绑定到负载平衡或内容交换虚拟服务器。您可以使用审计消息操作在各种日志级别记录消息,可以是仅以 syslog 格式或同时采用 syslog 格式和新 nslog 格式记录消息
必备条件
- 在配置要以定义格式向其发送日志的审核操作服务器时,启用了“用户可配置日志消息(userDefinedAuditlog)”选项。
- 相关的审核策略与全局系统相关。
配置审核消息操作
您可以将审计消息操作配置为在各种日志级别记录消息,可以是仅以 syslog 格式或同时采用 syslog 格式和新 ns 日志格式记录消息。审核消息操作使用表达式指定审核消息的格式。
使用命令行界面创建审核消息操作
在命令提示窗口中,键入:
add audit messageaction <name> <logLevel> <stringBuilderExpr> [-logtoNewnslog (YES|NO)] [-bypassSafetyCheck (YES|NO)]
add audit messageaction log-act1 CRITICAL '"Client:"+CLIENT.IP.SRC+" accessed "+HTTP.REQ.URL' -bypassSafetyCheck YES
使用 GUI 配置审核消息操作
导航到系统”>“审核”>“消息操作,然后创建审核消息操作。
将审核消息操作绑定到策略
创建审核消息操作后,必须将其绑定到重写或响应程序策略。有关将日志消息操作绑定到重写或响应程序策略的详细信息,请参阅 重写 或 响应方。
分享:
分享:
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.